5月14日訊息,今日烏雲平臺有使用者爆出小米論壇存在漏洞導致部分資料洩露,上午小米官方確認了這一漏洞,稱確實有部分論壇帳號被非法獲取,並表示2012年8月後註冊小米賬號的使用者在本次事件中完全不受影響。
烏雲平臺的漏洞提交者稱,小米論壇被拖庫,可能影響小米移動雲等敏感資訊,烏雲品太顯示,該漏洞已經提交給廠商,目前正在處理中。
小米官方在小米論壇釋出公告稱,經查確有部分2012年8月前註冊的論壇賬號資訊被非法獲取,這部分賬號資訊此前進行了嚴格加密(獨立Salt單向 雜湊值),且不少使用者近年已修改密碼,實際可能存在風險的只有其中一小部分。截止公告前,我們尚未發現可見的流量異動以及投訴報告。
以下是小米官方公告原文:
尊敬的小米使用者:
2014年5月13日,我們接獲部分早期小米論壇賬號資訊可能洩露的訊息,第一時間進行了全面安全檢查。
經查,確有部分2012年8月前註冊的論壇賬號資訊被非法獲取。
對此次事件給使用者帶來的困擾,我們深表歉意。
這部分賬號資訊此前進行了嚴格加密(獨立Salt單向雜湊值),且不少使用者近年已修改密碼,實際可能存在風險的只有其中一小部分。截止公告前,我們尚未發現可見的流量異動以及投訴報告。
經確認,2012年8月後註冊小米賬號的使用者在本次事件中完全不受影響;對在此之前註冊小米論壇賬號,且在2012年8月後未修改過密碼的使用者,出於安全考慮,我們將透過簡訊、郵件等方式提示其儘快修改密碼。對於前述可能存在風險的小部分賬號,我們會要求其立即修改密碼。
在創業初期,我們的論壇及依附論壇產生的賬號體系都使用了第三方開源程式。2012年8月,基於安全考慮,舊論壇賬號體系不再使用,小米將所有服務(包括小米雲服務、米幣等)切換到全新的賬號安全體系,採用業界最新安全實踐方案,對所有儲存資料均進行了最嚴格的安全加密。
使用者賬號和隱私安全是小米極其重視的頭等大事,我們一直對此持最謹慎態度,不遺餘力地提升安全保障措施,包括異地登入預警、安全令牌登入等。使用者登入使用重要服務(米幣中心、小米雲服務等)時,還會在手機端得到安全提示推送。
我們將密切關注此次安全事件動態和使用者反饋,持續跟進並及時通報。
小米安全中心
2014年5月14日